Cloudflare נפרץ על ידי שחקן איום חשוד בחסות המדינה ניגש לקוד מקור ומסמכים פנימיים

Cloudflare, חברת אבטחת אינטרנט ידועה ורשת אספקת תוכן, חשפה לאחרונה פרצת אבטחה נוגעת לתזמורת על ידי שחקן איום חשוד בחסות המדינה. התקרית, שנחשפה ב-23 בנובמבר, כללה גישה לא מורשית למערכות פנימיות באמצעות אישורים גנובים, שנפגעה בתחילה במהלך הפריצה של Okta באוקטובר 2023.

ניצול אישורים גנובים

שחקן האיום ניצל את האישורים הללו כדי לחדור למסד הנתונים הפנימי של הוויקי והבאגים של Cloudflare, וביצע פעילויות סיור החל מה-14 בנובמבר. למרות פילוח הרשת שמפריע לגישה למערכות קריטיות מסוימות, התוקפים הצליחו לחדור לסביבת ה-AWS של Cloudflare ולחבילת Atlassian, כולל Jira ו-Confluence.

בתוך חבילת Atlassian, התוקפים חיפשו מידע הקשור לתשתית הרשת של Cloudflare, תוך התמקדות במילות מפתח כמו "גישה מרחוק", "סוד" ו"אסימון". הם אפילו יצרו חשבון Atlassian מתמשך כדי להבטיח המשך גישה. בנוסף, הם פרסו את Sliver Adversary Emulation Framework כדי לקבל גישה נוספת וניסו לפרוץ מרכז נתונים לא תפעולי בסאו פאולו, ברזיל.

תוכנית הפעולה Swift של Cloudflare

בזמן שהתוקפים ניגשו והורידו מאגרי קוד מקור, Cloudflare הגיבה מיידית על ידי סיבוב סודות מוצפנים וסיום חשבונות לא מורשים. חוקי חומת אש יושמו כדי לחסום את כתובות ה-IP של התוקפים, וננקטו אמצעי אבטחה נרחבים, כולל הדמיה מחדש ואתחול מחדש של כל המכונות בתוך הרשת הגלובלית של Cloudflare.

למרות החקירה היסודית של Cloudflare ו-CrowdStrike, שום ראיה לא העלתה פשרה נוספת מעבר למערכות הנגישות. החברה שומרת על ערנות, ומשפרת ללא הרף את אמצעי האבטחה שלה כדי למנוע הפרות עתידיות ולשמור על התשתית שלה מפני איומים מתוחכמים.